Los Mayores Ciberataques a Instituciones Financieras: Una Guerra Invisible por el Dinero

En el siglo XXI, los mayores robos bancarios no se cometen con máscaras y armas, sino con líneas de código y paciencia. Los ataques de hackers a instituciones financieras han evolucionado de simples estafas a operaciones de ciberguerra coordinadas, capaces de mover miles de millones de dólares a través de fronteras en segundos. Estos incidentes no solo exponen la vulnerabilidad del sistema financiero global, sino que también revelan el arsenal tecnológico de los atacantes y la compleja red de defensa necesaria para detenerlos.

El Gran Robo de SWIFT: El Banco Central de Bangladesh (2016)

Uno de los ataques más audaces y devastadores de la historia moderna se dirigió al Banco Central de Bangladesh. El objetivo no fue el banco en sí, sino su credencial de acceso a la red SWIFT (Society for Worldwide Interbank Financial Telecommunication), el sistema global de mensajería que los bancos utilizan para transferir fondos.

¿Cómo lo hicieron?

El ataque fue una obra maestra de la paciencia y la infiltración. Los hackers, sospechosos de estar vinculados al grupo Lazarus de Corea del Norte, comenzaron meses antes:

1. Reconocimiento: Usaron técnicas de spear-phishing (correos electrónicos maliciosos dirigidos) para infectar la red del banco con malware.
2. Infiltración: Una vez dentro, instalaron un malware personalizado llamado «Evatrust» que se ocultaba en los sistemas de impresión del banco. Este malware no robaba datos, sino que monitorizaba cómo los empleados usaban el sistema SWIFT.
3. El Ataque: En febrero de 2016, los hackers emitieron 35 órdenes de transferencia de fondos fraudulentas por un total de casi 1,000 millones de dólares, dirigidas desde la cuenta del Banco de Bangladesh en la Reserva Federal de Nueva York hacia cuentas en Filipinas y Sri Lanka.
4. Ocultación: Para evitar la detección inmediata, el malware interceptaba los mensajes de confirmación de SWIFT y alteraba los registros de impresión para que las transacciones parecieran legítimas o simplemente no aparecieran.

Herramientas Utilizadas:

• Evatrust (custom malware): Para monitorizar y manipular el tráfico de SWIFT y los registros de impresión locales.
• Malware de Phishing: Para la infección inicial de la red.
• Credenciales de SWIFT: Robadas para autenticar las transacciones fraudulentas.

¿Cómo los detuvieron?

Una combinación de suerte y la intervención de terceros limitó el daño:

1. Un Error de Ortografía: De los casi 1,000 millones solicitados, 20 millones fueron dirigidos a una ONG en Sri Lanka. Un banco intermediario alemán (Deutsche Bank) detuvo la transacción porque los hackers escribieron mal la palabra «foundation» (escribieron «fandation»), lo que activó una alerta de lavado de dinero.
2. La Intervención de la Fed: La Reserva Federal de Nueva York, alertada por el volumen y el destino de las solicitudes (especialmente a Filipinas), bloqueó la mayoría de las transacciones restantes para una «revisión manual». Solo 81 millones de dólares llegaron a Filipinas y se perdieron.

---

La Campaña Carbanak/Akunak (2013-2018)

Este ataque se distingue por no dirigirse a un solo banco, sino a más de 100 instituciones financieras en 30 países, robando un estimado de 1,000 millones de dólares.

¿Cómo lo hicieron?

La banda Carbanak utilizó un enfoque sistemático de «infiltración y control total»:

1. Phishing Selectivo: Infectaban los ordenadores de empleados clave (especialmente administradores de sistemas) con el troyano Carbanak, enviado en documentos de Word maliciosos.
2. Movimiento Lateral: Una vez dentro de un ordenador, el malware se propagaba por la red interna para encontrar servidores críticos, como los que controlan los cajeros automáticos (ATMs) o las cuentas de transferencias electrónicas.
3. Grabación de Pantalla: Carbanak tenía una función de grabación de pantalla. Los hackers observaban durante semanas cómo los empleados del banco realizaban tareas cotidianas para aprender sus rutinas y cómo usar el software interno.
4. La Extracción:
   • Transferencias E-Money: Manipulaban los saldos de cuentas de «dinero electrónico» y transferían el exceso a cuentas controladas por ellos.
   • Jackpotting de Cajeros: Enviaban comandos remotos a cajeros automáticos específicos para que dispensaran efectivo a una hora exacta, donde un «mulero» (cómplice local) recogía el dinero sin necesidad de tarjeta.

Herramientas Utilizadas:

• Troyano Carbanak: Para la infección, movimiento lateral, grabación de pantalla y control remoto.
• Herramientas de Administración de Red Legítimas: A menudo usaban herramientas internas del propio banco para moverse sin ser detectados.

¿Cómo los detuvieron?

La detención fue el resultado de una masiva colaboración internacional:

1. Colaboración de la Industria: Bancos y firmas de seguridad (como Kaspersky Lab, que descubrió el ataque inicial) compartieron inteligencia para identificar el malware Carbanak.
2. Operación Policial Global: En 2018, la Europol, el FBI y las policías de varios países (incluida España, donde el líder fue arrestado en Alicante) coordinaron detenciones simultáneas de los miembros clave de la banda y sus «muleros». El análisis forense de la red de cajeros y las transferencias fue crucial.

---

El Ataque a Capital One (2019)

A diferencia de los robos directos de dinero, este ataque se centró en el robo de datos masivo, afectando a más de 100 millones de clientes.

¿Cómo lo hicieron?

Este ataque no requirió una infiltración compleja de la red, sino la explotación de una configuración de seguridad defectuosa en la nube:

1. Explotación de WAF: Una ex ingeniera de Amazon Web Services (AWS) que conocía las configuraciones típicas, Paige Thompson, identificó un Web Application Firewall (WAF) mal configurado en la infraestructura de la nube de Capital One.
2. Inyección de Comandos: Explotó una vulnerabilidad de inyección de comandos en el WAF que le permitió engañar al servidor para que ejecutara comandos con privilegios elevados.
3. Acceso al Almacenamiento: Usó estos privilegios para acceder a los «buckets» de almacenamiento de datos de Capital One (Amazon S3), robando solicitudes de tarjetas de crédito con números de seguridad social y cuentas bancarias.

Herramientas Utilizadas:

• Scripts de Escaneo: Para encontrar WAFs mal configurados.
• Herramientas de Inyección de Comandos: Para explotar la vulnerabilidad y elevar privilegios.
• Acceso a la Nube (AWS): Conocimiento técnico de la plataforma.

¿Cómo la detuvieron?

La detención fue rápida gracias a la propia jactancia de la atacante:

1. Jactancia en Redes Sociales: Thompson publicó en GitHub y Slack sobre cómo había accedido a los datos de Capital One, incluso compartiendo muestras.
2. Denuncia de un Usuario: Un usuario de GitHub vio las publicaciones, reconoció la gravedad y alertó a Capital One.
3. Investigación y Arresto: Capital One alertó al FBI, quien rastreó las publicaciones hasta Thompson y la arrestó pocas semanas después del ataque

About The Author